原创力文档- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
麒麟操作系统
安全基线配置操作手册
麒麟软件有限公司
文件编号:KYLIN-KYOSER-V1.0
声明
本手册中所列举的配置参数为麒麟操作系统初始状态下或软件安装后默认配置下的安
全参考。在实际使用过程中,用户方应在充分考虑部署环境、相关应用软件的基础上做好
严格的功能、性能、可靠性和兼容性测试。
前言
随着信息技术的飞速发展,操作系统作为信息系统的基础核心平台,其安全性、稳定
性和可靠性至关重要。银河麒麟操作系统已广泛应用于我国党政军、金融、能源、交通等
关键行业领域。为贯彻落实国家网络安全等级保护制度及相关安全要求,规范银河麒麟操
作系统的部署与配置,有效防范和抵御潜在的安全威胁,提升信息系统的整体安全防护水
平,在国家工业信息安全发展研究中心和工业和信息化部网络安全威胁和漏洞信息共享平
台信创政务产品安全漏洞专业库指导下,由编制组完成本手册撰写。
本手册旨在为系统管理员、安全运维人员和技术工程师提供一套全面、权威、可操作
性强的安全配置指南。手册内容基于国内外安全最佳实践、国家信息安全技术标准和行业
规范,结合银河麒麟操作系统的技术特性,详细阐述了从安全服务、内核参数、安全网
络、系统命令、系统审计等全方位的安全加固步骤与配置方法。
通过遵循本手册的指导进行系统配置,可以显著减少系统的攻击面,增强身份鉴别与
访问控制能力,确保数据保密性与完整性,并建立有效的安全审计追踪机制,从而构建一
个更加坚固和可信的计算环境。
请注意,本手册提供的配置建议是基于通用安全场景,在实际应用环境中,请您根据
业务系统的具体需求、性能要求及面临的独特威胁进行审慎评估和适应性调整。我们强烈
建议在将任何配置变更应用于生产环境之前,在测试环境中进行充分的验证和测试。
由于操作系统版本和软件生态的持续演进,本手册的内容将不定期更新。请确保您使
用的是最新版本的手册,并密切关注官方发布的安全公告和更新指引。
希望本手册能成为您构建安全、稳定、高效的银河麒麟操作系统环境的得力助手,共
同筑牢国家网络空间的安全基石。
麒麟软件有限公司
2025年08月
参编单位
国家工业信息安全发展研究中心
工业和信息化部网络安全威胁和漏洞信息共享平台信创政务产品安全漏洞专业库
麒麟软件有限公司
麒麟软件安全生态联盟
麒麟操作系统安全基线配置操作手册
目录
加固项说明1
1安全服务2
1.1禁用不必要的系统服务2
1.2设置ssh登录前警告Banner5
1.3设置ssh成功登录后Banner信息8
1.4禁止root用户登录SSH10
1.5设置ssh安全协议12
1.6设置ssh日志等级14
1.7设置ssh失败尝试次数16
1.8禁用ssh空密码用户登录17
1.9禁用ssh环境处理19
1.10开启ssh强加密算法20
1.11开启ssh服务自启动22
1.12禁止远程登录telnet服务24
1.13禁用不必要的xinetd服务25
1.14关闭系统不必要的端口28
1.15限制ssh服务可访问源31
1.16设置登录后系统提示信息35
2内核参数36
2.1禁止icmp重定向报文36
2.2禁止send_redirects发送定向38
2.3忽略icmpecho请求广播40
2.4禁止icmp源路由42
2.5禁止ip_forward数据包转发44
文档评论(0)